5G+工业互联网安全白皮书.pdf

5G+工业互联网安全白皮书工业互联网是中国制造智能化、信息化的重要手段，将加速“中国制造”向“中国智造”转型，并推动实体经济高质量发展。党中央、国务院高度重视工业互联网发展，习近平总书记连续四年对推动工业互联网发展做出重要指示。在 2020年 2月 21日，中央政治局会议再次强调，要推动工业互联网加快发展。 2020 年 3 月 4 日，中央政治局常委会作出加快新型基础设施建设进度的重要部署， 5G 和工业互联网以其巨大的社会效益和经济效益被同时纳入“七大新基建”。 5G 网络的高带宽、低时延、海量连接等特性与工业互联网的需求相吻合，必将成为工业数字化转型的关键基础设施。 5G 与工业互联网的融合创新发展，将推动制造业从单点、局部的信息技术应用向数字化、网络化和智能化转变，其叠加倍增效应和巨大应用潜力将不断释放，同时也为 5G 开辟更为广阔的市场空间，从而有力支撑制造强国、网络强国建设。随着 5G 网络的深度融入，工业网络边界也在不断的延伸，网络系统的硬件、软件及其系统中的数据更易遭受到破坏、更改、泄露，工业系统连续可靠运行、工业网络的持续服务面临越来越多的挑战。要让 5G 网络安全地赋能工业互联网，传统的安全解决方案不能满足所有的需求，必须要建立统一的 5G 工业互联网安全架构，基于工业互联网业务场景提供定制化的 5G 网络安全解决方案，加强工业互联网安全技术保障手段及数据安全防护技术手段建设，才能保障 5G+ 工业互联网行稳致远。本白皮书针对智能制造、电网、矿山、港口等工业垂直行业在引入 5G 后的普适性安全需求，为 5G+ 工业互联网应用场景的安全防护提供参考。本白皮书的目标读者包括但不限于工业企业、移动运营商、通信设备提供商、安全产品提供商、安全服务提供商、系统集成商，以及其他关心 5G+ 工业互联网安全相关的机构和个人。前言前言参与编写单位：中国移动通信集团有限公司中兴通讯股份有限公司中国信息通信研究院北京邮电大学三一重工股份有限公司鞍钢集团自动化有限公司江苏精研科技股份有限公司哈尔滨电气集团有限公司宝武集团韶关钢铁有限公司编写组成员：张滨、陆平、袁捷、俞承志、王继刚、张峰、李祥军、王庆、于乐、徐高峰、田慧蓉、郝晓龙、张静、张弘扬、滕志猛、邱勤、赵维铎、郝振武、江为强、程渤、赵帅、林兆骥、李珊、张瑜、魏立平、陈凯、常静、胡晶晶、许志成、王乙鸾、辛毅、杨志远、游世林、李溦技术联系：于乐徐高峰参与编写单位：中国移动通信集团有限公司中兴通讯股份有限公司中国信息通信研究院北京邮电大学三一重工股份有限公司鞍钢集团自动化有限公司江苏精研科技股份有限公司哈尔滨电气集团有限公司宝武集团韶关钢铁有限公司编写组成员：张滨、陆平、袁捷、俞承志、王继刚、张峰、李祥军、王庆、于乐、徐高峰、江为强、程渤、赵帅、林兆骥、李珊、张瑜、魏立平、陈凯、常静、胡晶晶、游世林、李溦技术联系：于乐徐高峰目录 01. 前言 08. 未来展望 02.5G 与工业互联网融合发展概述 09. 附录 1：术语表 10. 附录 2：缩略语表 11. 附录 3：参考文献 05.5G+ 工业互联网安全参考架构 5.1 设计理念 5.2 一体化的 5G+ 工业互联网安全参考架构 5.3 符合等保要求的企业工业互联网安全技术方案 06 07 08 04.5G 赋能工业互联网带来新的安全挑战 4.1 网络安全 4.2 控制安全 4.3 数据安全 4.4 接入安全 4.5 应用安全 04 04 05 05 05 03.5G 与工业互联网安全政策与标准 3.1 安全政策 3.2 安全标准 03 03 06. 定制的 5G+ 工业互联网场景化安全能力 6.1 差异化切片满足企业网络安全隔离需求 6.1.1 RAN 隔离 6.1.2 承载隔离 6.1.3 核心网隔离 6.2UPF 下沉 +FlexE 可靠地支持企业低时延业务需求 6.3多重机制提供企业端到端数据安全保障 6.3.1 接入认证 6.3.2 访问控制 6.3.3 数据传输安全 6.4零信任架构增强海量终端的接入安全 6.5 态势感知保障网络整体安全能力 10 11 12 13 14 15 15 15 15 16 17 07.5G+ 工业互联网安全应用案例 7.15G+ 智能电网网络安全解决方案 7.25G+ 智慧地铁网络安全应用解决方案 18 22 01 eMBB（增强型移动宽带）在 5G 时代，AR/VR、高清视频、 3D 等业务的流行将会驱动数据速率大幅提升，峰值速率超过 10Gbps，在工业环境下的具体应用包括 5G+ 机器视觉质检、 5G+ 智能制造中的工业巡检无人机、5G+ 智能电网中的高空巡检机器人等。 uRLLC（超可靠低时延通信业务） 5G 网络 E2E 时延 99.999%，能广泛满足工业生产领域的需求。例如 5G+ 港口中的远程操控桥吊作业、精准控制智能装卸， 5G+ 矿山中的远程操控挖掘机、无人矿卡等。 mMTC（大规模机器通信业务） 5G 开启了万物互联的时代，其能提供低功耗、大连接（ 1M 连接 /km）的网络服务，例如 5G+ 工业制造中的工业可穿戴、 5G+ 智慧钢厂中的有害气体及温度检测等业务。随着 5G 时代的到来， 5G 将以其高带宽、低时延、海量连接等特性大幅提升工业互联网的信息化水平，逐步成为支撑工业生产的基础设施。 5G 在可靠性和移动性的优势让其有望替代当前工业中广泛使用的有线和 WIFI网络， 5G的大带宽、低时延，以及边缘计算特性更能推动智能制造中的工业视觉、 AR、 VR 及工业可穿戴应用快速发展；通过 5G 技术连接、收集并分析海量终端的数据，进而得到设备实时运行信息，最终可达到提质、增效、降成本的效果。 5G 技术应用从移动互联网向工业互联网应用领域扩展，将渗透到工业生产的各个领域，满足前所未有的工业连接和通信需求，主要包括如下三种典型的应用场景：图 2-1 5G 行业应用场景 5G 网络高速率、超大连接、低时延的特点，将推动工业互联网快速发展和运用。 5G 网络提供的灵活定制、弹性部署、多层次隔离等智能网络能力与工业生产中研发设计系统、生产控制系统及服务管理系统等相结合，可以全面推动 5G 工业互联网的研发设计、生产制造、管理服务等生产流程的深刻变革，实现制造业向智能化、服务化、高端化转型。 5G 与工业互联网融合发展概述 02 5G 与工业互联网融合发展概述 Gigabytes in one second VR/AR Smart City Smart Home/Building Cloud GameCloud Of_f_ice 3D/UHD Video Self Driving Car Industry automation Intelligent Transportation Mission critical application eHealth Services uRLLCmMTC eMBB 02 2019 年 3 月 19 日挪威铝业公司 Norsk Hydro遭到 LockerGoga勒索软件攻击，致使主机死机，造成多个工厂关闭，部分工厂切换为手动运营模式，生产业务中断。 2018 年 8 月 4 日，攻击者使用恶意软件 TRITON 攻击中东某关键基础设施内的施耐德 Triconex 安全仪表系统（ SIS ），造成 SIS 系统失效，进而导致工业生产过程自动关闭。 2018 年 8 月 3 日晚，台积电营运总部和新竹科学园区的 12 英寸晶圆厂的电脑，遭到勒索病毒入侵，生产线全数停摆。几个小时之内，台积电在台湾北、中、南三处重要生产基地均未能幸免。各厂区直到 6 日才陆续全部恢复正常生产。这一事件直接影响台积电三季度 3% 的营业收入，公司的毛利润率下降一个百分点。 2015 年 12 月 23 日乌克兰电力系统遭受攻击，黑客将 BlackEnergy 恶意软件植入乌克兰电力部门，造成电网故障并导致伊万诺 - 弗兰科夫斯克地区大约一半的家庭停电 6 小时。针对工业互联网安全事故频发的现状，政府和标准组织从多个层面进行支撑保障，共同促进工业互联网安全生态建设。 5G 与工业互联网安全政策与标准 5G网络的引入，打破了传统工业相对封闭可信的生产环境，病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧，一旦受到网络攻击，将会造成巨大经济损失，并可能带来环境灾难和人员伤亡，危及公众安全和国家安全。 5G 与工业互联网安全政策与标准 03 03 为加强对工业互联网的安全管理，引导工业互联网安全有序的发展，各国政府相继出台多个法律法规和政府指导。在国内，2017 年 6 月起正式实施的中华人民共和国网络安全法要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”实行重点保护。 2017 年 12 月发布的关于深化“互联网 + 先进制造业”发展工业互联网的指导意见以“强化安全保障”为指导思想、“安全可靠” 为基本原则，提出“建立工业互联网安国内外相关标准组织针对 5G、工业互联网及应用等多个层面发布了标准规范。工业互联网产业联盟 2018 年相继发布工业互联网安全防护总体要求和工业互联网平台安全防护要求，规定了工业互联网应用场景下各组成对象不同安全等级的安全防护要求。针对 5G 网络安全， 3GPP 发布了 TS33.501 Security Architecture and Procedures for 5G System，中国通信标准化协会发布了 YD/T 3628-20195G 移动通信安全政策安全标准全保障体系、提升安全保障能力”的发展目标。2019 年 8 月工信部联合十部委下发关于加强工业互联网安全工作的指导意见，体系化推进工业互联网安全工作，全面提升工业互联网创新发展安全保障能力和服务水平。 2019 年 12 月 1日施行网络安全等级保护 2.0标准，即信息安全技术网络安全等级保护基本要求，其中特别增加了对工业控制系统的安全要求。国际上， 2015 年 6 月美国国家标准与技术研究院发布工业控制系统安全网安全技术要求。 2018 年 4 月德国工业界牵头成立了 5G 产业自动化联盟（5G ACIA），推动 5G 在工业生产领域的落地。在同年的德国汉诺威工业博览会上，发布了包含预测性维护网络、运动控制同步场景、绘图运动控制等工业互联六大场景的 TSN+OPCUA（OPC 统一架构）测试床。 5G 与工业互联网融合发展，相关安全标准也在陆续出台和丰富，比如中国通信标准化协会发布的工业通信网络网 5G 与工业互联网安全政策与标准指南，梳理工业控制系统典型威胁，提出安全防护技术框架。 2019 年 5 月 ENISA( 欧盟网络信息安全局 ) 发布工业 4.0 网络安全：挑战与建议报告，提供了可实施的安全措施，以加强欧盟工业 4.0 网络安全。 2020 年 1 月欧盟出台 5G 网络安全欧盟工具箱等一系列 5G 安全措施，应对 5G 网络安全问题。 2020 年 1 月美国出台保障 5G 安全及其他法案，提出“安全的下一代移动通信战略”。以解决 5G 和未来几代无线通信系统所面临的安全漏洞等问题。络和系统安全系统安全要求和安全等级，3GPP 发布的 TS 22.104 Service requirements for cyber-physical control applications in vertical domains。这些安全标准的制定为 5G 与工业互联网的安全融合奠定了基础，对建立 5G 工业互联网一体化防护体系提供了标准依据。随着我国在新基建相关领域的持续发力，相信会有更多针对 5G 工业互联网场景的安全标准出台，为 5G+ 工业互联网应用的发展保驾护航。 3.1 3.2 04 5G 采用网络切片，为不同工业互联网业务提供差异化的服务，网络化协同、个性化的安全定制等不仅要求网络提供安全服务的保障，也对网络的安全隔离能力提出更高的要求。其面对的安全挑战包括非法访问、资源争夺、非法攻击等切片间安全威胁，不同安全域间的非法访问、用户数据被窃听、针对公共 NF 的拒绝服务攻击等切片内安全威胁，外部网络的非法访问、病毒木马攻击等切片与 DN 网络间的安全威胁，非法租户的非法访问、管理员权限滥用、切片敏感信息的篡改等切片管理的安全威胁。 5G 网络由于采用了 SDN、NFV 等大量新 IT 技术，网络传输链路上的软、硬件安全威胁业随之带入工业互联网。工业互联网要求 MEC 尽可能靠近业务场景以满足其对低时延业务的需求，随之而来的 5G 核心网 UPF 下沉造成网络边界模糊，传统物理边界防护难以应用。另外，由于性能、成本、部署灵活性要求等多种因素制约， MEC 节点的安全能力不够完善，可抵御的攻击种类和抵御单个攻击的强度不够，容易被攻击。 5G 与工业互联网带来新的安全挑战 04 5G 与工业互联网带来新的安全挑战 5G与工业系统的深度融合势必将大量的 ICT系统威胁和挑战带入工业 OT网络，使得 5G+工业互联网与传统的工控系统安全和互联网安全相比，其安全挑战更为艰巨。以下根据防护对象不同，分别从工业网络、工业控制、工业数据、终端接入、工业应用五个层面来分析 5G与工业互联网融合面临的安全威胁。工业控制、工业机器人等场景对时延的要求极高，需要控制信令端到端的精确传送。只有保障 5G 网络环境下时延与时延抖动需求，才能实现上述场景中多个控制系统的协作，如机械手臂的联动、工业设备的同步加工等。工业控制协议、控制平台、控制软件在设计之初可能未考虑完整性、身份校验等安全需求。为此，其授权与访问控制不严格，身份验证不充分，配置维护不足，凭证管理不严。应用软件也持续面临病毒、木马、漏洞等传统安全挑战。 5G 网络使得原来不联网或相对封闭的控制专网连接到互联网上，这无形中增大了工控协议与 IT 系统漏洞被利用风险。网络安全4.1 控制安全4.2 055G 与工业互联网带来新的安全挑战 5G 网络基于 NFV、云计算、虚拟化技术使得安全边界模糊，流量不可见。MEC 节点位于网络边缘，处于运营商控制较弱的开放网络环境中，数据窃取、泄露的风险相对较高。工业互联网的多业务场景要求安全与业务需求、接入技术、终端能力等相结合，为此对数据管控有更严格的要求，要求企业数据不出园区。这对 MEC 中数据存储、传输、处理的安全性提出了较高的要求。 MEC 通过 API 接口开放给第三方应用，使得企业内部生产管理数据、生产操作数据以及工厂外部数据的开放、流动和共享带来前所未有的风险，使得行业数据安全传输与存储的风险大大增加。数据安全4.3 5G 网络增大了大量工业 IT 软件漏洞被利用风险。 5G 开启了万物互联时代， 5G 与工业互联网的融合使得海量工业终端接入成为可能，同时也带来攻击风险点的增加，终端设备本身，包括所用芯片、嵌入式操作系统、编码规范、第三方应用软件以及功能等，均存在漏洞、缺陷、后门等安全问题暴露在相对开放的 5G 网络中，存在被利用的风险。多种类终端接入加剧了恶意应用威胁渗透，巨量化、泛在化的智能终端易被利用成为新攻击源。一方面在 mMTC 场景下，成千上万的终端接入 5G 工业互联网，一旦这些终端被入侵利用，形成规模化的设备僵尸网络，将成为新型高容量分布式拒绝服务（ DDoS）攻击源，进而对工业应用、后台系统等发起攻击；另一方面，终端提供的数据信息量巨大，分类众多，应用场景多元化，但缺乏统一的安全标识和认证管理机制，这也增加了网络管理的难度。接入安全4.4 5G 网络基于网络能力开放技术，与工业互联网深度融合，使得工业互联网可以充分利用其网络能力灵活开发新业务，但也带来新的风险和挑战，攻击者可以利用 5G 网络能力开放架构提供的应用程序编程接口（ API）对网络进行拒绝服务攻击，比如利用部署在 MEC 平台上的第三方 APP 对 MEP 发起攻击。另外，多个 APP 间也存在互相非法访问的安全风险。随着跨行业应用的开展，需要开放共享相应的用户个人信息、网络数据和业务数据，这些信息和数据从运营商内部的封闭平台开放共享到工业互联网企业的开放平台上，运营商对数据的控制力减弱，数据泄露的风险增大。 5G 网络能力开放架构面临网络能力的非授权访问和使用、数据泄露、用户和网络敏感信息泄露等安全风险。边缘云平台（MEC）及服务也面临着虚拟化中常见的违规接入、内部入侵等内外部安全挑战，特别是 MEC 上应用程序缺陷，增加了非授权访问风险。应用安全4.5 06 5G+ 工业互联网安全以 5G 自身安全能力为基础，结合工业互联网实际应用场景安全需求，通过融合创新，将零信任、内生安全等前沿安全理念融入定制化安全方案中，形成整体的 5G+ 工业互联网一体化安全架构。为应对 5G 引入后工业互联网所面临的各种安全威胁 , 主要从事前防范、事中监测和事后应急三大环节构筑防护措施视角。事前部署相应的防护监测设备及措施，实时感知内部、外部的安全风险，针对网络不同域不同逻辑层部署采集功能，完成全网信息采集。事中通过大数据智能分析等手段 , 进行海量信息的综合处理，并利用安全威胁特征库来分析识别安全威胁。根据智能决策的理论、模型、方法 , 针对发生的安全威胁做出全面综合科学的响应决策。事后根据响应决策，研究实施响应处置的方法，包括大容量威胁流量清洗追踪溯源等 , 能够实时完成威胁处置等。此外，5G 技术发展以及应用场景具有广泛性、开放性、挑战性和多元性，既需要明确网络运营商、设备供应商、行业应用服务提供商等产业链各环节不同主体的责任和义务，不过分关注或放大单一环节责任，又需要加强各主体之间的协同合作，充分发挥政府部门、标准化组织、企业、研究机构和用户等各方标准组织事前防范事后应急安全技术体系安全管理体系安全运维体系事中监测安全管理中心工业组织政府机构运营商设备商网络安全生态体系 5G+ 工业互联网安全参考架构 05 5G+ 工业互联网安全参考架构的能动性，明晰各方安全责任，打造多方参与的 5G 安全治理体系。以系统理念看待 5G 工业互联网安全。构建 5G工业互联网威胁监测、全局感知、预警防护、联动处置一体化网络安全防御体系，形成覆盖全生命周期的网络安全防护能力。图 5-1 5G+ 工业互联网安全协同联动机制设计理念5.1 07 5G 工业互联网信息安全保障体系以我国的安全政策、相关法律和行业安全规划为主要指导原则，其包括安全技术体系、安全管理体系、安全运维体系及安全生态体系。安全技术体系以信息安全等级保护等安全要求为依据，包含对工业控制的安全防护、感知终端的安全防护、网络通信的安全防护、系统及应用的安全防护以及数据安全保障，构建一个全面的、端到端的技术防护体系。管理安全体系主要以等级保护、 ISO27001 标准为主要依据，在安全机构、安全制度、安全人员及安全建设方面予以管理和规范。而针对工业互联网的安全运维，则是以工业互联网产业联盟（ AII）等组织标准为参考，结合工业安全管理中心，将技术和管理及运维流程有效结合，保障工业互联网的运行安全。本白皮书重点阐述 5G+ 工业互联网安全技术体系建设，下面将分层介绍 5G+ 工业互联网安全技术体系架构。 5G 与工业互联网的融合，信息安全涉及到工业互联网的各个层面，单一的安全解决方案不能满足工业互联网信息安全的需要，需要统筹考虑，建立统一的安全防御体系。另外， 5G+ 工业互联网安全工作需要从制度建设、产业支持等更全局的视野来统筹安排，让更多企业意识到信息安全的必要性与紧迫性，加强安全管理与风险防范控制。为此，需要通过构建统一的工业互联网信息安全保障体系，较为全面覆盖接入、网络、控制、数据、等安全风险，才能够有效的保障 5G 引入后的工业互联网安全。符合等保要求的企业工业互联网安全技术方案物理环境安全通信网络安全区域边界安全计算环境安全安全管理中心政策法规标准体系安全管理安全运维安全生态安全运维管理终端接入认证数据端到端安全实时业务保障网络安全隔离无线接入安全 5GC安全 MEC安全切片安全管理安全定制的5G+工业互联网场景化安全能力灵活的5G网络安全能力安全技术体系 5G+ 工业互联网安全参考架构一体化的 5G+ 工业互联网安全参考架构5.2 图 5-2 5G+ 工业互联网安全参考架构 085G+ 工业互联网安全参考架构为构建工业智能化发展的安全可信环境，目前大部分企业工业互联网安全方案以网络安全等级保护基本要求、网络安全等级保护安全设计技术要求等国家标准文件为依据进行系统性设计。在满足相应级别安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上，最大程度发挥安全措施的保护能力。物理安全机房场地物理位置选择、物理访问控制、防火、防水和防潮、温度控制、电力供应、电磁辐射，以及工业设备防盗和防破坏、防雷击、防静电。安全通信网络设计合理的工业互联网架构，使得网络的数据传输效率以及可靠性和安全性得以保证，数据加密后传输，保证数据的完整性和保密性，防止他人破坏，创建安全的通信传输通道。划分安全域，保证工厂内有线与无线网络的安全，工厂外与用户、协作企业等实现互联的公共网络（包括标识解析系统）安全。区域边界安全根据访问控制策略在网络边界及区域间设置访问控制规则，建立基于身份鉴别要求的边界防护。在网络边界、重要网络节点进行安全审计，对重要的用户行为和重要安全事件进行审计。对突发安全事件具备检测的能力、响应处置能力、溯源分析能力。计算环境安全采用访问控制技术对登录工业互联网平台及各类型智能设备的主体进行身份确认，分配适当的访问和使用权限，保证工业系统资源受控合法地使用。使用安全审计技术对重要的用户行为和重要安全事件进行审计。智能装备系统采用最小安装、限制终端接入、入侵检测及报警、数据有效性检验以及系统漏洞的发现与修补等策略，减少主机对外暴露的漏洞。采用校验技术或密码技术保证重要数据在传输过程中的完整性、保密性。安全管理中心划分独立的安全运维区域，建立安全的信息传输路径，对网络中的安全设备进行集中管控。在设备上采取审计措施，对链路、设备和服务器运行状况进行监控并能够告警。对安全策略、恶意代码、补丁升级进行集中管理，对安全事件能够有效识别、及时预警和动态分析，展现全网安全态势。符合等保要求的企业工业互联网安全技术方案5.3 09定制的 5G+ 工业互联网场景化安全能力接入安全：包含终端的接入认证、终端的访问控制以及数据传输的安全设计。定义多重接入认证和信息加密方式，从较粗粒度的网络级认证到细化的切片认证，以及进一步的数据网络认证，不同的业务可以灵活配置不同级别的认证策略或者策略组合，以满足不同行业的接入安全需求。 5GC 安全： 5G 核心网络功能虚拟化的特点，使得虚拟化平台的可管可控的安全性要求成为 5G 安全的一个重要部分。虚拟网络安全防护的基本手段是对网络中的各个功能网元，以及管理网元，按照其重要性程度，划分不同的安全等级，并根据各个安全等级设置不同的安全域。每个 NF 网元只能属于一个安全域，每个安全域建议分配专用的硬件资源池；域间访问要通过虚拟安全设备做防护；域内可根据网元种类、归属地区等划分子域；安全资源池提供 FW/VPN/WAF/ IPS 等安全服务，通过 MANO 统一编排。作为工业互联网的重要基础设施， 5G在使能工业互联网的过程中，要结合具体的业务场景，基于 5G网络自身的安全能力提供定制化的安全方案，来满足工业互联网自身的等级保护需求。灵活的 5G 网络安全能力 5G 网络为应对新技术新架构带来的安全挑战，参照 ITU X.805 定义的安全体系架构和 3GPP TS 33.501 等 5G 安全规范，同时遵循电信网和互联网管理安全等级保护要求，提供了无线接入安全、 5GC 安全、 MEC 安全、切片安全及管理安全端到端的安全通信能力。 MEC 安全： 5G 网络中引入了边缘计算（ MEC），满足 5G 业务本地化、差异化、低时延的诉求。 MEC 本质上也是一个小型的云数据中心，这部分的安全设计主要参考等保等相关的技术要求，结合 MEC本身的业务特点，构建从物理安全、基础设施安全、系统及平台安全、业务及数据安全、管理与运维安全等端到端的安全解决方案，打造“放心”的边缘计算平台。在安全解决方案中，需要重点关注对第三方 APP的安全防护。首先，采用安全隔离手段实现 MEP 与 APP、APP 与 APP 的安全隔离（比如部署 FW、划分 VLAN 等）。另外，由于 APP以虚拟化网络功能 VNF的方式运行在 NFV基础设施上，当 APP 以虚拟机或容器部署时，可参考虚拟层安全要求和容器安全要求 , 采用安全措施实现 APP 使用的虚拟 CPU、虚拟内存以及 I/O 等资源与其它虚拟机或容器使用的资源间的隔离，同时也要保证 APP 镜像和镜像仓库具有完整性和机密性、访问控制的安全保护。定制的 5G+ 工业互联网场景化安全能力 06 10定制的 5G+ 工业互联网场景化安全能力 5G+ 工业互联网场景定制化安全能力 5G 继承了传统的通信网络安全体系，能够保障人和人之间的安全通信，但对于垂直行业，特别是对安全要求严苛的工业系统，5G 提供的基础安全能力无法满足不同业务场景下的安全需求。为此，需要以 5G 自身安全能力为基础，结合工业互联 5G 网络切片是基于无线接入网、承载网与核心网基础设施，以及网络虚拟化技术构建的一个面向不同业务特征的逻辑网络。运营商可以为不同行业应用在共享的网络基础设施上通过切片 1 gNB 切片 2 切片 3 RAN隔离 TN隔离 MEC隔离 5 CG 隔离 5GC 生产调度控制类切片生产管理信息类切片用户互动服务类切片能力开放、智能调度等技术构建网络切片，提供差异化的网络服务。这也对安全提出了新的挑战，包括切片间非法访问、切片内不同安全域间的非法访问等多种安全威胁。差异化切片满足企业网络安全隔离需求6.1 图 6-1 端到端网络切片隔离切片安全：区别于传统物理专网的私有性与封闭性， 5G 网络切片是建立在共享资源之上的虚拟化专用网络，切片安全除了提供传统移动网络安全机制之外（例如接入认证、接入层和非接入层信令和数据的加密与完整性保护等），还需要提供网络切片之间端到端安全隔离机制，包括端到端切片隔离、切片与用户间安全隔离、切片与 DN间安全隔离。管理安全：首先对网络运维和管理人员，提供统一的安全接入门户，实现用户的集中管理、接入认证、访问日志审计等功能。然后是安全按需编排，提供差异化安全服务，即通过为每种业务提供单独的网络切片，以及结合业务安全需求，为切片按需编排对应的安全能力，并且能弹性伸缩，以达到为各种应用提供差异化的安全服务。最后是网络能力开放安全管理，在运营商将网络能力开放之前，需要对能力开放给租户进行授权，租户需要在认证和授权通过之后，才能访问网络能力，不同的角色将获取不同的网络接入权限，租户和网络之间通过建立安全隧道，保证操作和运营数据的安全传输。网特征与运营模式，融合零信任、内生安全等前沿安全技术，构建定制化的 5G+ 工业互联网安全能力。以下章节将从 5 个方面详细阐述定制化的 5G+ 工业互联网安全能力。 11定制的 5G+ 工业互联网场景化安全能力为了安全地支持各种差异化的业务场景，需要提供网络切片隔离，为不同业务提供差异化的安全服务。通过一套参数配置，实现切片的资源隔离和业务质量保障，可以根据行业的安全隔离要求和需要保障的关键 SLA 选择不同类型的切片，并进行参数配置，从资源隔离和业务保障的角度，无线网络可以提供多种切片隔离技术。如下图所示，工业互联网切片隔离方案分为四类，分别对应等保 1-4 级，不同业务系统可以根据自身需求选择不同的网络隔离方案。 6.1.1 RAN 隔离网络切片在 RAN 侧的隔离主要面向无线频谱资源以及基站处理资源。最高安全等级的工业控制类切片采用独立的基站或者频谱独享。其他类型切片则根据安全需求通过 PRB 独享、DRB 共享、以及 5QI 优先级调度等多种方式组合来实现。独立基站 / 频谱独享对于一些强专网的应用（比如工业控制类），或者仅仅只有行业应用需求的局部区域，如无人工厂、无人发电站、矿山等，对通信独立性和可控性要求很高，或者其业务性能要求在共享基站中无法实现，则可以考虑采用独立基站的形式提供无线切片。另外，对于资源隔离和业务质量保障更高的应用，可以在运营商频谱资源中划分出一部分，比如 5MHz，单独给该切片使用。 PRB 独享 5G OFDMA 系统中，无线频谱从时域、频域、空域维度被划分为不同的资源块（ PRB），用于承载终端和基站之间数据传输。对于一些要求资源隔离，且对业务质量保障要求高的切片用户，可以采用配置一定比例的 PRB给该切片（比如 5%），此时该小区 5% 的空口资源和带宽为该切片专用，不受其它用户影响， PRB 的正交性保证了切片的隔离性， PRB 专用也保证了业务质量的稳定性。 DRB 共享可以配置 DRB 接纳控制参数，确保切片在特定小区下能够接入的用户数不被其它业务抢占 DRB 接纳控制可以采用灵活的配置策略，既可以固定配置，也可以配置一个较小的比例，超过后还可以在资源池中抢占。 5QI 优先级调度对于不需要严格确保资源隔离和业务质量的切片，如视频监控类 eMBB 切片，可采用 5QI 优先级调度方式，可以在兼顾业务质量的情况下节省成本。 5QI 优先级调度方式是基于 S-NSSAI 的不同优先级（可以依据切片业务需保障的程度进行配置）和业务的 5QI，在一个调度周期内计算出不同业务流的调度优先级。 5QI 软切片的本质是基于调度的，以调度策略来实现业务质量，如带宽、误码率等指标的目标，当基站业务繁忙的时候并不能确保达到该目标。切片类别隔离类别 RAN TN MEC 5GC 专用切片完全独占基站 / 频谱独享 FlexE 隔离 MEC/UPF 业务独享 CPF 全部独享定制切片 1 部分共享 PRB 独享 VPN/VLAN 隔离 MEC/UPF 企业独享 CPF 全部独享定制切片 2 部分共享 DRB 共享 5QI 优先级调度 VPN/VLAN 隔离 QoS 资源保障 MEC/UPF 企业独享 CPF 全部独享普通切片完全共享 DRB 共享 VPN/VLAN 隔离 VLAN/VxLAN 隔离 CPF 全部共享 UPF 共享图 6-2 差异化切片隔离方案 12 6.1.2 承载隔离 5G 网络依托数据中心部署，跨越数据中心的物理通信链路需要承载多个切片的业务数据。网络切片在承载侧的隔离可通过软隔离、硬隔离和 QoS 资源保障等多种方案实现。 Sub-port 0 Sub-port 1 Sub-port 2 时分复用基于66B Block级 FlexE Shim PHY - Interface 定制的 5G+ 工业互联网场景化安全能力 VPNVLAN 隔离软隔离方案基于现有网络机制，通过 VLAN 标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的 VLAN 标签，通过 VLAN 隔离实现切片的承载隔离，实现 QoS 保障，用于办公网及监控网络。 FlexE 隔离硬隔离方案引入 FlexE 技术，基于以太网协议，在 L1(PHY) 和 L2(MAC) 层之间创造另一“垫层”，实现 FlexE 分片。FlexE 分片是基于时隙调度将一个物理以太网端口划分为多个以太网弹性管道（逻辑端口），使得承载网络既具备类似于 TDM( 时分复用 ) 独占时隙、隔离性好的特性，从而实现承载侧支持任意子速率分片和隔离，同时又具备以太网统计复用、网络效率高的特点。对于工业控制应用等对时延和安全保障较高的业务可以在承载侧独占时隙从而实现切片硬隔离。图 6-3 FlexE 时隙交叉交换机制 13定制的 5G+ 工业互联网场景化安全能力 6.1.3 核心网隔离 5G 核心网基于虚拟化基础设施构建，由很多种不同的网络功能构成，有些网络功能为切片专用（工业控制），有些则在多个切片之间共享，因此在核心网侧的隔离需要采用多重隔离机制。 Slice3Slice1 UPF AMF SMF UDMPCF 工业控制模式一：完全独立 CU DU AAU Slice2 UPF SMF PCF UPF SMF PCF AMFUDM 模式二：部分控制面共享 AGV 运输视觉质检 CU DU AAU Slice4 Slice5 Slice6 UPF UPF SMFPCF AMFUDM UPF 模式三：控制面共享，媒体面独立视频监控手机视频环境监测 DU CU AAU CPF 独占共享， UPF 独占共享核心网的所有控制面网元（包括 AMF、 AUSF, UDM、 UDR、 PCF、 SMF）、用户面网元 UPF 均新建。适用于如工业控制、典型专网等对安全需求最高的应用场景。 CPF 部分共享，UPF 独占共享核心网的部分控制面网元（包括 AUSF、UDR、PCF、SMF）独享， AMF 和 UDM 共享，用户面网元 UPF 新建，可根据容量、时延等要求，选择在核心机房或者边缘机房建设 UPF。对于希望数据隔离的大部分切片，或者对部署位置有严格要求（比如工厂、园区）且有本地应用部署需求（MEC）的切片用户，采用这种类型的切片。 CPF 全部共享，UPF 独享核心网的控制面网元（包括 AMF、 AUSF, UDM、 UDR、 PCF、 SMF）共享、 NFV 和切片选择相关的控制面网元 NRF、NSSF 共享，用户面网元 UPF 新建，切片通过 S-NSSAI 区分，新建 DNN。应用到如管理信息网等对于安全隔离有一定要求的业务场景。图 6-4 核心网元隔离 14 智能车间内设备的互联，以及生产运营的数字化转型，使得工业系统对实时性、抗抖动性的无线网络需求变得迫切，传统无线网络无法满足要求，而 5G 以其高带宽、低时延、大连接的网络特性获得工业生产系统的青睐。传统端到端移动通信，数据必须流经无线接入、核心网、平台等各个环节，最终导致端到端时延较长，性能上无法满足对时延要求比较高的工业控制应用的要求。为了进一步降低端到端通信时延，可以将 5G 网络中 UPF 下沉到 MEC, 通过将数据、应用、智能引入基站边缘侧，通过减少数据传输路由节点，将业务部署在边缘节点以降低端到端通信时延。另外在网络传输方面，服务于工控的网络切片，对时延要求更高，传统分组设备对于客户业务报文采用逐跳转发策略，网络中每个节点设备都需要对数据包进行 MAC 层和 MPLS 层解析，这种解定制的 5G+ 工业互联网场景化安全能力业务时延控制要求能力开放平台本地时延策略配置配网差动保护终端 DTU/ CPE 配网差动保护终端 DTU/CPE 配电自动化终端 AAU DU/CU 配电自动化主站汇聚核心层